我知道有实时数据库规则可以配置为限制多个级别的数据访问。那很好。
托管怎么样? “仅限会员”网页是否仅由实时数据库规则保护?换句话说,客户端Javascript可以查看firebase.auth().currentUser;属性,以确定form,table,card,section或其他任何要切换的内容例如,CSS display:none到display:inline。但是,HTML已经下载到客户端,因此不太安全。
那么,是否可以继续下载页面,但使用实时数据库规则来确定页面详细信息是否充满了敏感数据?这是个主意吗?
我甚至在实时数据库中存储了标记(HTML),并且实际上工作正常。
任何建议都表示赞赏。
答案 0 :(得分:3)
Firebase Hosting目前没有任何类型的访问控制,即使您隐藏并基于Firebase身份验证状态显示HTML / JS / CSS,也是正确的。
根据您的应用程序,这可能实际上很好!由于您可以使用Firebase数据库安全规则控制哪些用户实际执行,如果用户可以深入了解代码并查看他们可以使用的功能',那就不是什么大问题了实际上是利用。
如果隐藏应用程序的功能很重要,那么只有在授权后,才能从数据库或Firebase存储中动态加载JS / HTML。